KR102329493B1 - Method and apparatus for preventing connection in wireless intrusion prevention system - Google Patents

Method and apparatus for preventing connection in wireless intrusion prevention system Download PDF

Info

Publication number
KR102329493B1
KR102329493B1 KR1020150167947A KR20150167947A KR102329493B1 KR 102329493 B1 KR102329493 B1 KR 102329493B1 KR 1020150167947 A KR1020150167947 A KR 1020150167947A KR 20150167947 A KR20150167947 A KR 20150167947A KR 102329493 B1 KR102329493 B1 KR 102329493B1
Authority
KR
South Korea
Prior art keywords
radio frame
policy
blocking
message
generating
Prior art date
Application number
KR1020150167947A
Other languages
Korean (ko)
Other versions
KR20170062301A (en
Inventor
최대성
박성준
황철훈
Original Assignee
삼성전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자 주식회사 filed Critical 삼성전자 주식회사
Priority to KR1020150167947A priority Critical patent/KR102329493B1/en
Priority to US15/775,185 priority patent/US10834596B2/en
Priority to PCT/KR2016/013766 priority patent/WO2017091047A1/en
Publication of KR20170062301A publication Critical patent/KR20170062301A/en
Application granted granted Critical
Publication of KR102329493B1 publication Critical patent/KR102329493B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Abstract

본 발명은 무선 침입 방지 시스템(wireless intrusion prevention system) 내 전자 장치의 접속 차단 방법에 관한 것으로, 제 1 통신 모듈을 통해, 복수의 채널에서 순차적으로 무선 프레임을 모니터링하는 단계; 상기 모니터링 결과 수신된 적어도 하나의 무선 프레임에 기반하여 제 1 차단 메시지를 생성하고, 상기 적어도 하나의 무선 프레임 중 소정 무선 네트워크 기술이 적용된 제 1 무선 프레임에 기반하여 제 2 차단 메시지를 생성하는 단계; 및 제 2 통신 모듈을 통해, 상기 제 1 또는 제 2 차단 메시지 중 적어도 하나를 전송하는 단계를 포함한다. 다만, 상기 실시 예에 한정되지 않으며 다른 실시 예가 가능하다.The present invention relates to a method for blocking access of an electronic device in a wireless intrusion prevention system, comprising: sequentially monitoring a wireless frame in a plurality of channels through a first communication module; generating a first blocking message based on at least one radio frame received as a result of the monitoring, and generating a second blocking message based on a first radio frame to which a predetermined radio network technology is applied among the at least one radio frame; and transmitting at least one of the first and second blocking messages through a second communication module. However, it is not limited to the above embodiment, and other embodiments are possible.

Description

무선 침입 방지 시스템에서의 접속 차단 방법 및 장치{METHOD AND APPARATUS FOR PREVENTING CONNECTION IN WIRELESS INTRUSION PREVENTION SYSTEM}Method and device for blocking access in wireless intrusion prevention system

본 발명은 무선 침입 방지 시스템에 관한 것으로, AP(access point) 및 단말 간 접속을 차단하는 방법 및 장치에 관한 것이다.The present invention relates to a wireless intrusion prevention system, and to a method and apparatus for blocking access between an access point (AP) and a terminal.

인터넷의 급속한 발전과 보급으로 네트워크 환경은 점점 거대해지고 있으며, 인터넷의 간편하고 편리한 네트워크 접속과 제공하고 있는 다양한 서비스로 인하여 그 형태가 복잡해지고 있다. 그러나 인터넷 상에서의 바이러스, 해킹, 시스템 침입, 시스템 관리자 권한 획득, 침입사실 은닉, 서비스 거부공격 등과 같은 다양한 형태의 네트워크 공격으로 인해 인터넷은 항상 해킹의 위험에 노출되어 인터넷에 대한 침해가 증가하고 있고, 공공기관과 사회기반시설 및 금융 기관은 피해 규모가 점점 증가하며 그 영향력이 크다. 이러한 인터넷 보안문제를 해결하기 위해 바이러스 백신, 방화벽, 통합 보안 관리, 침입탐지시스템 등의 네트워크 보안 기술의 필요성이 대두되고 있다.With the rapid development and dissemination of the Internet, the network environment is getting bigger and bigger, and the form is getting complicated due to the simple and convenient network access and various services provided by the Internet. However, due to various types of network attacks such as viruses, hacking, system intrusion, system administrator privilege acquisition, intrusion concealment, denial of service attack, etc. Public institutions, infrastructure, and financial institutions are increasingly affected by the damage. In order to solve these Internet security problems, the need for network security technologies such as antivirus, firewall, integrated security management, and intrusion detection system is emerging.

무선 인터넷 통신을 위한 무선랜 시스템은 무선랜 액세스 포인트(Wireless LAN Access Point, AP)와 무선랜 단말을 포함한다. AP는 액세스 포인트 장치라는 장비를 설치하여 사용하고 있다. 무선랜 단말은 AP에서 제공되는 정보를 전달받아 다음 단으로 제공하는 기능을 한다. 현재 주로 사용하는 AP는 무선 트래픽에 대한 전송, 네트워크 지원 기능만을 제공하기 때문에, 무선으로 칩입되는 해킹 정보를 필터링하고 있지 못하다.A wireless LAN system for wireless Internet communication includes a wireless LAN access point (AP) and a wireless LAN terminal. The AP installs and uses a device called an access point device. The wireless LAN terminal receives the information provided by the AP and provides it to the next stage. Since the APs currently mainly used provide only wireless traffic transmission and network support functions, they cannot filter out hacking information that enters into the wireless network.

최근에는 유선과 무선을 이용한 통합형 네트워크 시스템이 널리 개발되고 적용되고 있다. 유선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것도 어렵지만, 무선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것은 더 어렵다. 이를 해결하기 위해 침입 차단 시스템(Wireless Intrusion Prevention System, WIPS)이 개발되고 있는 상황이다. WIPS는 무선 구간 모니터링을 통해 비인가(rouge) AP 또는 DoS (Denial of Service) 공격 등의 무선 침입을 탐지 및 차단하는 시스템이다.Recently, an integrated network system using wired and wireless has been widely developed and applied. It is difficult to reliably block harmful traffic accessing by wire, but it is even more difficult to reliably block harmful traffic accessing wirelessly. To solve this problem, a Wireless Intrusion Prevention System (WIPS) is being developed. WIPS is a system that detects and blocks wireless intrusions such as rouge APs or Denial of Service (DoS) attacks through wireless section monitoring.

예컨대 IEEE 802.11w 기술과 같이 보호된 비인증 프레임을 통해 AP와 단말이 접속하는 경우, AP와 단말이 연결된 상태에서는 WIPS가 차단을 수행할 수 있다. 또한, 접속을 시도하는 AP와 단말에 대해서 차단 이벤트를 발생시키는 시간보다 둘 간의 연결되는 시간이 빠른 경우 정상적으로 차단을 수행할 수 없는 문제가 발생할 수 있다.For example, when the AP and the terminal are connected through a protected non-authentication frame as in IEEE 802.11w technology, the WIPS may block while the AP and the terminal are connected. In addition, if the connection time between the AP and the terminal attempting access is earlier than the time for generating a blocking event, a problem may occur that blocking cannot be performed normally.

따라서, 본 발명의 다양한 실시 예들은, 소정 보안 기술이 적용된 무선 네트워크를 통해 접속을 시도하는 AP와 단말간의 접속을 빠르게 사전 차단하는 방법을 제공하는 것을 목적으로 한다.Accordingly, various embodiments of the present invention have an object to provide a method of quickly pre-blocking a connection between an AP and a terminal attempting to access through a wireless network to which a predetermined security technology is applied.

본 발명의 한 실시 예에 따른 무선 침입 방지 시스템(wireless intrusion prevention system) 내 전자 장치의 접속 차단 방법은, 제 1 통신 모듈을 통해, 복수의 채널에서 순차적으로 무선 프레임을 모니터링하는 단계; 상기 모니터링 결과 수신된 적어도 하나의 무선 프레임에 기반하여 제 1 차단 메시지를 생성하고, 상기 적어도 하나의 무선 프레임 중 소정 무선 네트워크 기술이 적용된 제 1 무선 프레임에 기반하여 제 2 차단 메시지를 생성하는 단계; 및 제 2 통신 모듈을 통해, 상기 제 1 또는 제 2 차단 메시지 중 적어도 하나를 전송하는 단계를 포함할 수 있다.A method for blocking access of an electronic device in a wireless intrusion prevention system according to an embodiment of the present invention includes: sequentially monitoring radio frames in a plurality of channels through a first communication module; generating a first blocking message based on at least one radio frame received as a result of the monitoring, and generating a second blocking message based on a first radio frame to which a predetermined radio network technology is applied among the at least one radio frame; and transmitting at least one of the first and second blocking messages through a second communication module.

본 발명의 한 실시 예에 따른 무선 침입 방지 시스템(wireless intrusion prevention system) 내 전자 장치는, 제 1 통신 모듈; 제 2 통신 모듈; 및 상기 제 1 통신 모듈을 통해 복수의 채널에서 순차적으로 무선 프레임을 모니터링하도록 제어하고, 상기 모니터링 결과 수신된 적어도 하나의 무선 프레임에 기반하여 제 1 차단 메시지를 생성하고 상기 적어도 하나의 무선 프레임 중 소정 무선 네트워크 기술이 적용된 제 1 무선 프레임에 기반하여 제 2 차단 메시지를 생성하며, 제 2 통신 모듈을 통해 상기 제 1 또는 제 2 차단 메시지 중 적어도 하나를 전송하도록 제어하는 컨트롤러를 포함할 수 있다.An electronic device in a wireless intrusion prevention system according to an embodiment of the present invention includes: a first communication module; a second communication module; and controlling to sequentially monitor radio frames in a plurality of channels through the first communication module, generating a first blocking message based on at least one radio frame received as a result of the monitoring, and generating a predetermined one of the at least one radio frame. and a controller that generates a second block message based on the first radio frame to which the radio network technology is applied, and controls to transmit at least one of the first block message and the second block message through a second communication module.

본 발명의 다양한 실시 예에 따른 WIPS에 의하면, 일반 무선 네트워크를 통해 연결된 AP와 단말 간의 연결을 차단할 수 있을 뿐만 아니라, 소정 보안 기술이 적용된 무선 네트워크를 통해 AP와 단말이 접속하기 이전에 접속을 사전 차단할 수 있다.According to the WIPS according to various embodiments of the present invention, it is possible to block the connection between the AP and the terminal connected through the general wireless network, and to pre-access the AP and the terminal through the wireless network to which a predetermined security technology is applied. can be blocked

도 1은 무선 침입 방지 시스템(wireless intrusion prevention system, WIPS)의 개략적인 구성을 나타내는 블록도이다.
도 2는 WIPS의 접속 차단 방법을 나타내는 흐름도이다.
도 3은 센싱 장치가 모니터링한 무선 프레임을 기반으로 정책 위반 여부를 판단하는 방법을 나타내는 순서도이다.
도 4는 본 발명의 실시 예에 따른 WIPS의 개략적인 구성을 나타내는 블록도이다.
도 5는 센싱 장치 내 통신 모듈의 구성의 한 예시를 나타내는 도면이다.
도 6은 본 발명의 실시 예에 따른 WIPS의 접속 차단 방법을 나타내는 흐름도이다.
도 7은 본 발명의 실시 예에 따른 센싱 장치의 채널 모니터링 시, 스캔 채널 동적 할당을 설명하기 위한 도면이다.
도 8은 본 발명의 실시 예에 따른 스캔 채널 동적 할당 방법을 설명하기 위한 순서도이다.
도 9는 본 발명의 실시 예에 따른 센싱 장치가 소정 무선 네트워크와 관련하여 차단 이벤트 생성 방법을 설명하기 위한 순서도이다.
도 10은 본 발명의 실시 예에 따른 센싱 장치가 일반 무선 네트워크와 관련하여 차단 이벤트 생성 방법을 설명하기 위한 순서도이다.1 is a block diagram showing the schematic configuration of a wireless intrusion prevention system (wireless intrusion prevention system, WIPS).
2 is a flowchart illustrating a WIPS access blocking method.
3 is a flowchart illustrating a method of determining whether a policy is violated based on a radio frame monitored by a sensing device.
4 is a block diagram showing a schematic configuration of a WIPS according to an embodiment of the present invention.
5 is a diagram illustrating an example of a configuration of a communication module in a sensing device.
6 is a flowchart illustrating a WIPS access blocking method according to an embodiment of the present invention.
7 is a diagram for explaining dynamic allocation of scan channels when monitoring a channel of a sensing device according to an embodiment of the present invention.
8 is a flowchart illustrating a method for dynamically allocating scan channels according to an embodiment of the present invention.
9 is a flowchart illustrating a method for generating a blocking event by a sensing device in relation to a predetermined wireless network according to an embodiment of the present invention.
10 is a flowchart illustrating a method for generating a blocking event by a sensing device in relation to a general wireless network according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. At this time, it should be noted that in the accompanying drawings, the same components are denoted by the same reference numerals as much as possible. In addition, detailed descriptions of well-known functions and configurations that may obscure the gist of the present invention will be omitted.

본 발명의 실시 예에 따른 무선 침입 방지 시스템(wireless intrusion prevention system, WIPS)은 무선 구간 모니터링을 통해 비인가(rouge) AP(Access Point) 또는 DoS (Denial of Service) 공격 등의 무선 침입을 탐지 및 차단하는 시스템이다.A wireless intrusion prevention system (WIPS) according to an embodiment of the present invention detects and blocks wireless intrusions such as an unauthorized (rouge) AP (Access Point) or DoS (Denial of Service) attack through wireless section monitoring. is a system that

본 명세서에서 기술하는 일반 무선 네트워크는 IEEE 802.11기술이 적용되는 무선 네트워크를 지칭할 수 있고, 그 중 소정 보안 기술이 적용된 무선 네트워크는 IEEE 802.11w기술이 적용된 무선 네트워크를 지칭할 수 있다. IEEE 802.11w는 관리 프레임의 보안성을 향상시킨 IEEE 802.11의 수정 기술이다. 그러나, 이에 한정되는 것은 아니고, 본 발명의 실시 예는 다양한 보안 기술이 적용된 무선 네트워크에 적용될 수 있음은 물론이다.The general wireless network described in this specification may refer to a wireless network to which IEEE 802.11 technology is applied, and among them, a wireless network to which a predetermined security technology is applied may refer to a wireless network to which IEEE 802.11w technology is applied. IEEE 802.11w is a modification technology of IEEE 802.11 that improves the security of the management frame. However, the present invention is not limited thereto, and of course, embodiments of the present invention may be applied to a wireless network to which various security technologies are applied.

도 1은 WIPS의 개략적인 구성을 나타내는 블록도이다.1 is a block diagram showing a schematic configuration of WIPS.

도 1을 참조하면, WIPS는 센싱 장치(100) 및 서버(130)를 포함할 수 있다. 한편, 무선 네트워크 서비스와 센싱 장치를 동시에 구성할 수 있는 기업 네트워크에서는, 필요 시 AP 컨트롤러를 추가적으로 포함할 수 있다.Referring to FIG. 1 , the WIPS may include a sensing device 100 and a server 130 . Meanwhile, in a corporate network capable of simultaneously configuring a wireless network service and a sensing device, an AP controller may be additionally included if necessary.

WIPS가 차단 정책을 결정하는 동작은 다음과 같을 수 있다.The operation of WIPS to determine the blocking policy may be as follows.

예컨대, 센싱 장치(100)는 무선 프레임을 모니터링하고, 모니터링한 무선 프레임을 기반으로 이를 전송한 단말 또는 AP의 MAC 주소, 보안 설정 내용, 프레임 출현 빈도, 전송 속도, 데이터 양, SSID, IEEE 802.11 a/b/g/n 등 여부, 채널, RSSI 등의 정보를 가공할 수 있다. 그리고, 센싱 장치(100)는 가공된 정보를 서버(130)로 전송할 수 있다.For example, the sensing device 100 monitors a radio frame, and based on the monitored radio frame, the MAC address of the terminal or AP that transmitted it, security settings, frame appearance frequency, transmission rate, data amount, SSID, IEEE 802.11 a Information such as /b/g/n, channel, RSSI, etc. can be processed. In addition, the sensing device 100 may transmit the processed information to the server 130 .

서버(130)는 가공된 정보를 DB(database)화된 시그너쳐(signature) 정보와 비교하여 해당 단말 또는 AP의 비인가 여부 및 이상 동작 여부를 판단할 수 있다. 이때, 시그너쳐는 무선 프레임의 헤더 정보 또는 프레임 발생 빈도 등의 정보를 포함할 수 있다.The server 130 may compare the processed information with DB (database)-formed signature information to determine whether the corresponding terminal or AP is unauthorized and whether an abnormal operation occurs. In this case, the signature may include information such as header information of a radio frame or frame occurrence frequency.

서버(130)는 탐지된 AP의 비인가 여부를 2가지 경우로 판단할 수 있다. 서버(130)는 SSID, MAC 주소, DB에 저장된 기타 정보를 기반으로 비인가 AP 여부를 판단하거나, 해당 AP가 사내 유선망에 연결되지 않을 경우 비인가 AP로 판단할 수 있다. 이때, 사내 유선망에 연결 여부의 판단은 다양한 방법으로 이루어질 수 있다. 비인가 단말도 이와 유사한 방법으로 판단할 수 있다.The server 130 may determine whether the detected AP is unauthorized in two cases. The server 130 may determine whether the AP is an unauthorized AP based on the SSID, MAC address, and other information stored in the DB, or may determine that the AP is an unauthorized AP if the corresponding AP is not connected to the in-house wired network. In this case, the determination of whether to connect to the in-house wired network may be made in various ways. An unauthorized terminal may also be determined in a similar manner.

서버(130)는 해당 AP가 비인가 되었거나 이상 동작 중인 AP 또는 단말로 판단될 경우, 차단 정책에 의한 자동 차단을 실시하거나 알람을 발생시켜 관리자에 의해 수동 차단을 실시하게 할 수 있다. 차단 결정에 따라 서버(130)는 센서 장치(100)에게 차단 대상 목록 또는 차단 정책 정보룰 전송할 수 있다.When the server 130 determines that the corresponding AP is unauthorized or an AP or terminal operating abnormally, it may automatically block according to a blocking policy or generate an alarm so that the administrator may manually block the block. According to the blocking decision, the server 130 may transmit a blocking target list or blocking policy information to the sensor device 100 .

센서 장치(100)는 차단 대상 목록 및 차단 정책에 기반한 판단에 의해 차단해야 할 AP와 단말을 선택하게 되고, 차단을 실시할 수 있다.The sensor device 100 may select an AP and a terminal to be blocked by determination based on the block target list and block policy, and may block.

예컨대, 차단 대상 목록 및 차단 정책에 기반한 센싱 장치(100)의 차단은 다음과 같은 3가지 종류가 있을 수 있다.For example, the blocking of the sensing device 100 based on the blocking target list and blocking policy may be of the following three types.

1) AP 차단: 센싱 장치(100)는 차단 대상 AP의 BSSID가 감지되면 특정 단말 대상이 아니고 AP에 접속하는 모든 단말을 차단할 수 있다. 1) AP blocking: When the BSSID of the blocking target AP is detected, the sensing device 100 may block all terminals accessing the AP rather than a specific terminal target.

2) 단말 차단: 센싱 장치(100)는 비인가 단말로 판단되거나 해당 단말이 인가된 단말로 변조했음을 탐지했을 경우, 해당 단말을 차단할 수 있다. 해당 단말의 MAC이 나타나면 센싱 장치(100)는 이의 모든 AP로의 접속을 차단할 수 있다.2) Terminal Blocking: The sensing device 100 may block the corresponding terminal when it is determined that the terminal is an unauthorized terminal or detects that the corresponding terminal has been tampered with by an authorized terminal. When the MAC of the corresponding terminal appears, the sensing device 100 may block access to all APs thereof.

3) 특정 AP-단말 차단: 센싱 장치(100)는 비인가 AP에 인가 단말이 연결되었을 경우 또는 인가 AP에 비인가 단말이 연결 되었을 경우 연결을 차단할 수 있다. 센싱 장치(100)는 해당 단말 MAC이 나타나면 지정된 AP로의 접속에 대해서만 차단하고 그 외 AP의 접속에는 관여하지 않을 수 있다.
3) Specific AP-Terminal Blocking: The sensing device 100 may block a connection when an authorized terminal is connected to an unauthorized AP or when an unauthorized terminal is connected to an authorized AP. When the corresponding terminal MAC appears, the sensing device 100 may block only access to a designated AP and may not participate in access to other APs.

예컨대, 센싱 장치(100)는 컨트롤러(105) 및 통신 모듈(125)을 포함할 수 있다.For example, the sensing device 100 may include a controller 105 and a communication module 125 .

통신 모듈(125)은 무선 프레임을 모니터링할 수 있고, 차단 메시지 생성 시 단말 및 AP로 차단 메시지를 전송할 수 있다. The communication module 125 may monitor the radio frame and transmit the blocking message to the terminal and the AP when generating the blocking message.

컨트롤러(105)는 무선 침입 방지와 관련한 정책 정보 및 차단 목록에 기반하여, 모니터링 결과 수신한 무선 프레임과 관련한 차단 메시지를 생성할 수 있다. 그리고, 컨트롤러(105)는 생성된 차단 메시지를, 상기 무선 프레임을 송수신하도록 설정된 AP 및 단말로 전송하도록 제어할 수 있다.The controller 105 may generate a blocking message related to a wireless frame received as a result of monitoring based on the blocking list and policy information related to wireless intrusion prevention. In addition, the controller 105 may control to transmit the generated blocking message to the AP and the terminal configured to transmit and receive the radio frame.

예컨대, 컨트롤러(105)는 센서 수신부(110), 센서 분석부(115) 및 센서 차단부(120)를 포함할 수 있다.For example, the controller 105 may include a sensor receiving unit 110 , a sensor analyzing unit 115 , and a sensor blocking unit 120 .

센서 수신부(110)는 통신 모듈(125)를 제어하여 복수의 채널에서 무선 프레임을 모니터링할 수 있다.The sensor receiver 110 may control the communication module 125 to monitor radio frames in a plurality of channels.

센서 분석부(115)는 모니터링 결과 수신된 무선 프레임을 분석하여 상기 무선 프레임을 송신한 AP 또는 단말의 정보를 추가/갱신할 수 있다. 센서 분석부(115)는 차단 대상 목록 및 차단 정책에 기반하여 상기 AP 또는 단말의 정책 위반 여부를 판단하여 차단 이벤트를 생성할 수 있다. 센서 분석부(115)는 생성된 차단 이벤트를 서버(130)로 전달할 수 있다.The sensor analyzer 115 may analyze a radio frame received as a result of monitoring to add/update information of an AP or a terminal that has transmitted the radio frame. The sensor analyzer 115 may generate a blocking event by determining whether the AP or the terminal violates the policy based on the blocking target list and blocking policy. The sensor analyzer 115 may transmit the generated blocking event to the server 130 .

센서 차단부(120)는 생성된 차단 이벤트를 실행할 수 있다. 센서 차단부(120)는 차단 메시지를 생성하여 상기 무선 프레임을 송수신하도록 설정됐던 AP 및 단말로 전송할 수 있다.The sensor blocking unit 120 may execute the generated blocking event. The sensor blocking unit 120 may generate a blocking message and transmit it to the AP and the terminal configured to transmit and receive the radio frame.

예컨대, AP와 단말이 서로 연결되어 있을 경우, 센서 차단부(120)는 비인증(Deauthentication) 프레임을 생성하여 이를 AP 및 단말로 전송함으로써 차단을 수행할 수 있다. 센서 차단부(120)는 비인증 프레임을 보내는 주소는 AP의 BSSID로 설정하고, 받는 주소는 단말의 MAC 주소로 설정하여 생성 후 단말에게 전송할 수 있다. 그리고, 센서 차단부(120)는 비인증 프레임을 보내는 주소는 단말의 MAC 주소로 설정하고, 받는 주소는 AP의 BSSID로 설정하여 생성 후 AP에게 전송할 수 있다. 센싱 장치(100)로부터 전송되는 비인증 프레임을 받은 AP와 단말은, 상대방이 연결 종료를 알리는 비인증 프레임을 전송하였다고 판단하여 서로간의 접속을 중지할 수 있다.For example, when the AP and the terminal are connected to each other, the sensor blocking unit 120 may perform blocking by generating a Deauthentication frame and transmitting it to the AP and the terminal. The sensor blocking unit 120 may set the address for sending the non-authentication frame as the BSSID of the AP and the receiving address as the MAC address of the terminal, and may transmit the generated address to the terminal. In addition, the sensor blocking unit 120 may set the address for sending the non-authentication frame as the MAC address of the terminal and the receiving address as the BSSID of the AP to generate and transmit to the AP. The AP and the terminal that have received the non-authentication frame transmitted from the sensing device 100 may determine that the other party has transmitted the non-authentication frame indicating termination of the connection, and may suspend the connection between each other.

도 2는 WIPS의 접속 차단 방법을 나타내는 흐름도이다.2 is a flowchart illustrating a WIPS access blocking method.

서버(130)는 205 단계에서 센싱 장치(100)에 무선 침입 방지 관련 정책 정보 및 차단 목록을 전송할 수 있다.The server 130 may transmit wireless intrusion prevention related policy information and a block list to the sensing device 100 in step 205 .

센서 수신부(110)는 210 단계에서 복수의 채널에서 무선 프레임을 모니터링할 수 있다. 모니터링 결과 무선 프레임이 수신되면, 215 단계에서 센서 수신부(110)는 센서 분석부(115)에 해당 무선 프레임 분석을 호출할 수 있다. The sensor receiver 110 may monitor radio frames in a plurality of channels in step 210 . When a radio frame is received as a result of monitoring, the sensor receiving unit 110 may call the sensor analyzing unit 115 to analyze the corresponding radio frame in step 215 .

센서 분석부(115)는 220 단계에서 해당 무선 프레임을 분석하여, 225 단계에서 해당 무선 프레임을 송신한 AP 또는 단말 정보를 추가하거나 갱신할 수 있다. 그리고, 230 단계에서 해당 AP 또는 단말의 정책 위반 여부를 판단할 수 있다. 센서 분석부(115)는 정책 위반으로 판단되는 경우 235 단계에서 차단 이벤트를 생성할 수 있다. 센서 분석부(115)는 240 단계에서 생성된 차단 이벤트 정보를 서버(130)로 전달할 수 있다. The sensor analyzer 115 may analyze the corresponding radio frame in step 220 and add or update information on the AP or the terminal that has transmitted the radio frame in step 225 . In step 230, it may be determined whether the corresponding AP or the terminal violates the policy. The sensor analyzer 115 may generate a blocking event in step 235 when it is determined that the policy is violated. The sensor analyzer 115 may transmit the blocking event information generated in step 240 to the server 130 .

245 단계에서 차단 이벤트가 발생하였음이 센서 차단부(120)로 전달되면, 센서 차단부(120)는 250 단계에서 차단 이벤트를 실행할 수 있다. 센서 차단부(10)는 예컨대, 앞서 설명한 바와 같이 비인증 프레임을 생성하여 상기 무선 프레임을 송수신하도록 설정됐던 AP 및 단말로 전송할 수 있다.When it is transmitted to the sensor blocking unit 120 that the blocking event has occurred in step 245 , the sensor blocking unit 120 may execute the blocking event in step 250 . For example, the sensor blocking unit 10 may generate an unauthenticated frame as described above and transmit it to the AP and the terminal configured to transmit and receive the radio frame.

도 3은 센싱 장치(예: 100) 내 센서 분석부(115)가, 모니터링한 무선 프레임을 기반으로 정책 위반 여부를 판단하는 방법을 나타내는 순서도이다.3 is a flowchart illustrating a method of determining, by the sensor analyzer 115 in a sensing device (eg, 100), whether a policy is violated based on a monitored radio frame.

센서 분석부(115)는 305 단계에서 무선 프레임을 분석하고 해당 무선 프레임을 송신한 AP 또는 단말 정보를 추가/갱신할 수 있다.The sensor analyzer 115 may analyze the radio frame in step 305 and add/update information on the AP or the terminal that has transmitted the radio frame.

센서 분석부(115)는 310 단계에서 모니터링된 AP 또는 단말이 차단 AP 목록에 있는지 여부를 판단할 수 있고, 목록에 있는 경우 315 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.The sensor analysis unit 115 may determine whether the monitored AP or terminal is on the blocked AP list in step 310, and if it is on the list, block to block the connection between the AP and the terminal related to the radio frame in step 315 You can create events.

센서 분석부(320)는 320 단계에서 모니터링된 AP 또는 단말이 차단 단말 목록에 있는지 여부를 판단할 수 있고, 목록에 있는 경우 325 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.The sensor analysis unit 320 may determine whether the monitored AP or terminal is in the blocked terminal list in step 320, and if it is in the list, block to block the connection between the AP and the terminal related to the radio frame in step 325 You can create events.

센서 분석부(320)는 330 단계에서 모니터링된 AP가 비인가 AP 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 335 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.The sensor analyzer 320 may determine whether the monitored AP has violated the unauthorized AP policy in step 330, and if it is determined that the violation has been violated, in step 335 for blocking the connection between the AP and the terminal related to the radio frame A blocking event can be generated.

센서 분석부(320)는 340 단계에서 모니터링된 단말이 비인가 단말 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 345 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.The sensor analysis unit 320 may determine whether the monitored terminal has violated the unauthorized terminal policy in step 340, and when it is determined that the violation is determined in step 345, to block the connection between the AP and the terminal related to the radio frame in step 345 A blocking event can be generated.

센서 분석부(320)는 350 단계에서 모니터링된 AP 또는 단말이 기타 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 355 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.The sensor analysis unit 320 may determine whether the monitored AP or terminal has violated other policies in step 350, and if it is determined that the violation has been violated, block the connection between the AP and the terminal related to the radio frame in step 355 You can create a blocking event for

한편, IEEE 802.11w 과 같은 무선 프레임에 대한 보안이 강화된 기술이 등장하면서, 상기와 같은 WIPS의 AP-단말 접속 차단 방법에 대한 아래와 같은 문제점이 대두되었다.On the other hand, with the advent of technologies with enhanced security for radio frames such as IEEE 802.11w, the following problems with the WIPS AP-terminal access blocking method have emerged.

기존 IEEE 802.11 관리(management) 프레임은 비보호된 상태로 전송되었기 때문에 센서에서 보내는 비인증 프레임에 대해서 AP나 단말은 의심 없이 받아들여 서로 간의 접속을 중지하였다. 하지만, IEEE 802.11w 에서 관리 프레임을 보호하는 기술을 정의함에 따라 IEEE 802.11w로 연결된 AP나 단말은 보호된 비인증 프레임이 아니게 되면 해당 비인증 프레임을 무시하기 때문에, AP와 단말이 연결된 상태에서는 차단 메시지를 통한 차단을 수행할 수 없다.Since the existing IEEE 802.11 management frame was transmitted in an unprotected state, the AP or the terminal accepted the unauthenticated frame sent from the sensor without any doubt and stopped the connection between them. However, as IEEE 802.11w defines a technology for protecting the management frame, the AP or UE connected to IEEE 802.11w ignores the non-authentication frame if it is not a protected non-authentication frame. Blocking cannot be performed through

따라서, AP와 단말이 IEEE 802.11w로 접속을 시도할 경우 정책 검사 이후 차단 메시지를 발생시키는 시간보다 AP와 단말이 연결되는 시간이 빠르기 때문에, 정상적으로 차단을 수행할 수 없다. Therefore, when the AP and the terminal attempt to access via IEEE 802.11w, since the time between the AP and the terminal is faster than the time for generating a blocking message after the policy check, the blocking cannot be performed normally.

따라서, 본 발명의 다양한 실시 예는, WIPS에서 IEEE 802.11w에 의해서 접속을 시도하는 AP와 단말을 빠르게 탐지하고 WIPS의 차단 정책 및 차단 목록에 의해서 해당 AP와 단말간의 차단을 수행하는 방법을 제공한다. 아래에서 설명은 IEEE 802.11w가 적용되는 무선 네트워크를 예로써 설명할 것이나 이에 한정되는 것을 아니고, 무선 프레임에 소정 보안 기술이 적용된 무선 네트워크에 확장하여 적용될 수 있음은 잘 이해될 수 있을 것이다.
Accordingly, various embodiments of the present invention provide a method of quickly detecting an AP and a terminal attempting to access by IEEE 802.11w in WIPS and performing blocking between the AP and the terminal according to the blocking policy and block list of WIPS. . The description below will be described as an example of a wireless network to which IEEE 802.11w is applied, but is not limited thereto, and it will be well understood that the wireless network can be extended and applied to a wireless network to which a predetermined security technology is applied to a wireless frame.

도 4는 본 발명의 실시 예에 따른 WIPS의 개략적인 구성을 나타내는 블록도이다.4 is a block diagram showing a schematic configuration of a WIPS according to an embodiment of the present invention.

도 4를 참조하면, 본 발명의 실시 예에 따른 WIPS는 센싱 장치(400) 및 서버(440)를 포함할 수 있다.Referring to FIG. 4 , the WIPS according to an embodiment of the present invention may include a sensing device 400 and a server 440 .

앞서 도 1에서 설명한 동작과 유사하게, 서버(440)는 차단 대상 목록 및 차단 정책 정보를 결정하여 센싱 장치(400)로 전달할 수 있다.Similar to the operation described above with reference to FIG. 1 , the server 440 may determine a blocking target list and blocking policy information and transmit it to the sensing device 400 .

센싱 장치(400)는 컨트롤러(405)과 제 1 및 제 2 통신 모듈(430, 435)을 포함할 수 있다.The sensing device 400 may include a controller 405 and first and second communication modules 430 and 435 .

본 발명의 실시 예에 따른 제 1 및 제 2 통신 모듈(430, 435)은 무선 프레임을 모니터링하는 기능과, 생성된 차단 메시지를 AP 및 단말로 전송하는 기능이 구분되어 수행될 수 있다. 예컨대, 제 1 통신 모듈(430)은 상기 컨트롤러(405)의 제어에 따라 복수의 채널에서 순차적으로 무선 프레임을 모니터링할 수 있다. 그리고, 제 2 통신 모듈(435)은 상기 컨트롤러(405)의 제어에 따라, 생성된 차단 메시지를 AP 및 단말로 전송할 수 있다. 모니터링 기능을 수행하는 통신 모듈과 차단 메시지 전송을 하는 통신 모듈이 구분되기 때문에, 보다 빠른 모니터링 및 차단 동작이 가능하고 따라서 높은 차단 성능을 기대할 수 있다.The first and second communication modules 430 and 435 according to an embodiment of the present invention may perform a function of monitoring a radio frame and a function of transmitting the generated blocking message to the AP and the terminal separately. For example, the first communication module 430 may sequentially monitor radio frames in a plurality of channels under the control of the controller 405 . In addition, the second communication module 435 may transmit the generated blocking message to the AP and the terminal under the control of the controller 405 . Since the communication module that performs the monitoring function and the communication module that transmits the blocking message are separated, faster monitoring and blocking operations are possible, and thus high blocking performance can be expected.

도 5를 참조하면, 도 1에 도시된 센싱 장치(500)에 포함되는 통신 모듈의 구성과 도 4에 도시된 센싱 장치(520)에 포함되는 통신 모듈의 구성을 비교할 수 있다.Referring to FIG. 5 , the configuration of the communication module included in the sensing device 500 illustrated in FIG. 1 may be compared with the configuration of the communication module included in the sensing device 520 illustrated in FIG. 4 .

예컨대, IEEE 802.11w를 고려하지 않는 센싱 장치(500)의 경우, 예컨대, 2.4GHz 대역에 대한 채널 스캔 및 차단을 수행하는 통신 모듈(505) 및 5GHz 대역에 대한 채널 스캔 및 차단을 수행하는 통신 모듈(510)을 포함할 수 있다.For example, in the case of the sensing device 500 that does not consider IEEE 802.11w, for example, the communication module 505 for performing channel scan and blocking for the 2.4 GHz band and the communication module for performing the channel scan and blocking for the 5 GHz band 510 may be included.

반면, IEEE 802.11w를 고려하는 센싱 장치(500)의 경우, 채널 스캔을 수행하는 통신 모듈(525) 및 차단을 수행하는 통신 모듈(530)을 구분하여 포함할 수 있다. 한 예시로, 채널 스캔을 수행하는 통신 모듈(525)은 2.4GHz 대역 및 5GHz 대역에 대한 채널 스캔을 수행할 수 있다. 그리고, 차단을 수행하는 통신 모듈(530)은 2.4GHz 대역 및 5GHz 대역 각각에 대한 차단을 수행하는 통신 모듈(535, 540)을 포함할 수 있다.On the other hand, in the case of the sensing device 500 considering IEEE 802.11w, a communication module 525 for performing a channel scan and a communication module 530 for performing a blocking may be separately included. As an example, the communication module 525 performing a channel scan may perform a channel scan for a 2.4 GHz band and a 5 GHz band. In addition, the communication module 530 for performing blocking may include communication modules 535 and 540 for performing blocking for each of the 2.4 GHz band and the 5 GHz band.

컨트롤러(405)는 서버(440)로부터 수신한 정책 정보 및 차단 목록에 기반하여, 모니터링 결과 수신한 무선 프레임과 관련한 차단 메시지를 생성할 수 있다.The controller 405 may generate a blocking message related to the radio frame received as a result of monitoring based on the block list and the policy information received from the server 440 .

이때, 컨트롤러(405)는 소정 무선 네트워크 기술(예컨대, IEEE 802.11w)이 적용된 무선 프레임을 별도로 필터링하여, 해당 무선 프레임에 대한 차단 메시지를 생성하는 동작과 일반 무선 네트워크 기술이 적용된 무선 프레임에 대한 차단 메시지를 생성하는 동작을 병렬적으로 처리할 수 있다. 그리고, 컨트롤러(105)는 생성된 차단 메시지를, 상기 무선 프레임을 송수신하도록 설정된 AP 및 단말로 전송하도록 제어할 수 있다.In this case, the controller 405 separately filters the radio frame to which a predetermined radio network technology (eg, IEEE 802.11w) is applied, and generates a block message for the radio frame and blocks the radio frame to which the general radio network technology is applied. The operation of generating a message can be processed in parallel. In addition, the controller 105 may control to transmit the generated blocking message to the AP and the terminal configured to transmit and receive the radio frame.

아래는, IEEE 802.11w와 관련하여 본 발명의 실시 예에서 추가되는 개념에 대한 설명이다.The following is a description of a concept added in an embodiment of the present invention in relation to IEEE 802.11w.

1) PMF (Protected Management Frame)1) PMF (Protected Management Frame)

기존의 무선랜에서는 데이터 프레임만 보호될 수 있었고, 관리 프레임과 컨트롤 프레임들은 보호되지 못했지만 IEEE 802.11w 에서 일부 관리 프레임을 보호할 수 있는 기술을 표준으로 정했고 이를 PMF라 한다. 이러한 프레임 종류는 De-authentication, Disassociation 과 Action management frame 등이 있다. In the existing wireless LAN, only data frames could be protected, and management frames and control frames were not protected, but IEEE 802.11w established a technology that can protect some management frames as a standard, which is called PMF. These frame types include de-authentication, disassociation and action management frame.

2) Protected flag2) Protected flag

본 발명의 실시 예에 따라 IEEE 802.11w에 의한 접속을 차단하기 위해서는 기존에 연결 중인 AP와 단말간의 De-authentication과 Disassociation 메시지를 확인해야 된다. 하지만 De-authentication과 Disassociation 메시지의 경우 IEEE 802.11w를 구분할 수 있는 필드가 없기 때문에, IEEE 802.11w로의 연결 가능 여부를 추정해야 된다. Radio tap flag에는 Protected flag가 있고, 이 값이 1일 경우 기존에 연결 되었던 AP와 단말은 데이터를 암호화(WEP, WPA/WPA2)를 했음을 추정할 수 있다. In order to block access by IEEE 802.11w according to an embodiment of the present invention, it is necessary to check the de-authentication and disassociation messages between the AP and the terminal being connected. However, since there is no field for distinguishing IEEE 802.11w in the case of de-authentication and disassociation messages, it is necessary to estimate whether connection to IEEE 802.11w is possible. There is a Protected flag in the radio tap flag, and when this value is 1, it can be estimated that the AP and the terminal that were previously connected performed data encryption (WEP, WPA/WPA2).

3) 11w 스캔 알고리즘3) 11w scan algorithm

본 발명의 실시 예에 따르면, 무선 프레임 모니터링은 IEEE 802.11w가 탐지되는 채널에 대해서 채널을 동적으로 추가 할당함으로써 11w 채널을 스캔 할 수 있는 확률을 높이는 알고리즘을 제안한다.According to an embodiment of the present invention, radio frame monitoring proposes an algorithm that increases the probability of scanning an 11w channel by dynamically allocating a channel to a channel for which IEEE 802.11w is detected.

4) Management Frame Protection Required (MFPR)4) Management Frame Protection Required (MFPR)

IEEE 802.11w를 지원하는 AP 또는 단말은 Robust Security Network (RSN) Information Element (IE)의 RSN capabilities 필드 중 MFPR 를 비콘(Beacon) 또는 프로브(Probe) 메시지로 방사한다. MFPR의 비트가 1일 경우 해당 AP 또는 단말은 상대방과 IEEE 802.11w로만 연결할 수 있다. MFPR의 비트가 0일 경우 아래 5)에서 설명하는 MFPC로 802.11w 연결 여부가 결정될 수 있다.An AP or UE supporting IEEE 802.11w emits MFPR in the RSN capabilities field of the Robust Security Network (RSN) Information Element (IE) as a Beacon or Probe message. When the MFPR bit is 1, the corresponding AP or terminal can connect with the other party only through IEEE 802.11w. When the bit of MFPR is 0, it may be determined whether to connect to 802.11w with the MFPC described in 5) below.

5) Management Frame Protection Capable (MFPC)5) Management Frame Protection Capable (MFPC)

802.11w를 지원하는 AP 또는 단말은 4)에서 설명된 RSN capabilities 필드 중 MFPC를 비콘 또는 프로브 메시지로 방사한다. MFPC의 비트가 1일 경우 해당 AP 또는 단말은 상대방과 IEEE 802.11w로 연결이 선택사항이 된다. MFPC의 비트가 0일 경우 해당 AP 또는 단말은 상대방과 IEEE 802.11w로 연결하지 않는다.An AP or UE supporting 802.11w emits the MFPC in the RSN capabilities field described in 4) as a beacon or probe message. When the bit of MFPC is 1, the corresponding AP or terminal becomes an option to connect with the other party through IEEE 802.11w. If the bit of MFPC is 0, the corresponding AP or terminal does not connect with the other party through IEEE 802.11w.

6) MFPR과 MFPC 설정에 따른 IEEE 802.11w 가능 여부6) Whether IEEE 802.11w is possible according to MFPR and MFPC settings

AP 또는 단말은 IEEE 802.11w 연결을 지원하는 경우의 MFPC, MFPR와 지원하지 않는 경우의 MFPC, MFPR를 구분할 수 있다. 다음과 같이 각 옵션에 따라 AP 또는 단말이 상대방과 802.11w로 연결 여부를 확인할 수 있다.The AP or the UE may distinguish between MFPC and MFPR in case of supporting IEEE 802.11w connection and MFPC and MFPR in case of not supporting IEEE 802.11w. According to each option, as follows, it is possible to check whether the AP or the terminal is connected to the other party by 802.11w.

APAP 단말terminal 802.11w 연결 여부802.11w connection or not MFPC=0, MFPR=0MFPC=0, MFPR=0 MFPC=0, MFPR=0MFPC=0, MFPR=0 XX MFPC=0, MFPR=0MFPC=0, MFPR=0 MFPC=1, MFPR=0MFPC=1, MFPR=0 XX MFPC=0, MFPR=0MFPC=0, MFPR=0 MFPC=1, MFPR=1MFPC=1, MFPR=1 XX MFPC=1, MFPR=0MFPC=1, MFPR=0 MFPC=0, MFPR=0MFPC=0, MFPR=0 XX MFPC=1, MFPR=0MFPC=1, MFPR=0 MFPC=1, MFPR=0MFPC=1, MFPR=0 OO MFPC=1, MFPR=0MFPC=1, MFPR=0 MFPC=1, MFPR=1MFPC=1, MFPR=1 OO MFPC=1, MFPR=1MFPC=1, MFPR=1 MFPC=0, MFPR=0MFPC=0, MFPR=0 XX MFPC=1, MFPR=1MFPC=1, MFPR=1 MFPC=1, MFPR=0MFPC=1, MFPR=0 OO MFPC=1, MFPR=1MFPC=1, MFPR=1 MFPC=1, MFPR=1MFPC=1, MFPR=1 OO

상기 설명한 IEEE 802.11w 관련 기술이 적용된 것을 전제로, 이하 컨트롤러(405)의 동작을 설명하기로 한다.An operation of the controller 405 will be described below on the premise that the above-described IEEE 802.11w related technology is applied.

컨트롤러(405)는 한 예시로, 센서 수신부(410), 제 1 센서 분석부(415), 제 2 센서 부석부(420) 및 센서 차단부(425)를 포함할 수 있다. 상기 컨트롤러(405)의 이러한 구성은 소프트웨어적인 구분일 수도 있고, 하드웨어적인 구분일 수도 있다. 컨트롤러(405)의 구성은 이에 한정되는 것은 아니고, 동일한 기능을 구현하는 다양한 방식으로 설계될 수 있다.As an example, the controller 405 may include a sensor receiver 410 , a first sensor analyzer 415 , a second sensor pumice part 420 , and a sensor blocker 425 . This configuration of the controller 405 may be a software classification or a hardware classification. The configuration of the controller 405 is not limited thereto, and may be designed in various ways to implement the same function.

센서 수신부(410)는 제 1 통신 모듈(125)를 제어하여 복수의 채널에서 무선 프레임을 모니터링할 수 있다. 아래에서 자세하게 설명하겠지만, 센서 수신부(410)는 상기 복수의 채널 중 IEEE 802.11w 의 무선 프레임이 전송된 채널을 상기 모니터링을 위해 동적으로 추가 할당할 수 있다.The sensor receiver 410 may control the first communication module 125 to monitor radio frames in a plurality of channels. As will be described in detail below, the sensor receiver 410 may dynamically additionally allocate a channel to which an IEEE 802.11w radio frame is transmitted among the plurality of channels for the monitoring.

제 1 센서 분석부(415)는 상기 모니터링 결과 수신한 적어도 하나의 무선 프레임 중 IEEE 802.11w의 무선 프레임을 필터링하고, 차단 대상 목록 및 차단 정책에 기반하여 상기 필터링된 무선 프레임에 대한 차단 이벤트를 생성할 수 있다. 한편, IEEE 802.11w에 대한 정책 적용이 비활성화된 상태인 경우에는, 제 1 센서 분석부(415)는 상기 무선 프레임에 대한 정책 위반 예상 정보를 생성할 수 있다. 추후 해당 정책 적용이 활성화되면, 제 1 센서 분석부(415)는 상기 정책 위반 예상 정보에 기반하여 상기 무선 프레임에 대한 차단 이벤트를 생성할 수 있다.The first sensor analyzer 415 filters the IEEE 802.11w radio frame among the at least one radio frame received as a result of the monitoring, and generates a blocking event for the filtered radio frame based on the block target list and block policy can do. Meanwhile, when policy application for IEEE 802.11w is in a deactivated state, the first sensor analyzer 415 may generate policy violation prediction information for the radio frame. If the policy application is activated later, the first sensor analyzer 415 may generate a blocking event for the radio frame based on the policy violation prediction information.

제 1 센서 분석부(415)는 상기 무선 프레임이 비콘 프레임인 경우, 채널 정보가 위조된 모조(fake) 비콘을 생성하여 단말에게 전송함으로써 불특정 단말들이 IEEE 802.11w를 지원하는 AP로의 접속을 지연시킬 수 있다.When the radio frame is a beacon frame, the first sensor analyzer 415 generates a fake beacon with forged channel information and transmits it to the terminal, thereby delaying the access of unspecified terminals to the AP supporting IEEE 802.11w. can

제 1 센서 분석부(415)는 상기 무선 프레임이 프로브 프레임인 경우, 상기 무선 프레임에 대한 차단 이벤트를 생성할 수 있다.When the radio frame is a probe frame, the first sensor analyzer 415 may generate a blocking event for the radio frame.

제 2 센서 분석부(420)는 차단 대상 목록 및 차단 정책에 기반하여, 상기 모니터링 결과 수신한 적어도 하나의 무선 프레임의 정책 위반 여부를 판단하고, 상기 판단 결과에 따라 상기 IEEE 802.11w의 무선 프레임을 제외한 무선 프레임에 대한 차단 이벤트를 생성할 수 있다.The second sensor analysis unit 420 determines whether at least one radio frame received as a result of the monitoring violates the policy based on the blocking target list and the blocking policy, and receives the IEEE 802.11w radio frame according to the determination result. It is possible to generate a blocking event for the excluded radio frame.

제 1 및 제 2 센서 분석부(420)는 병렬적으로 동작함으로써, IEEE 802.11w의 무선 프레임에 대한 차단 이벤트를 보다 빠르게 생성할 수 있다.By operating in parallel, the first and second sensor analyzers 420 may generate a blocking event for an IEEE 802.11w radio frame more quickly.

센서 차단부(425)는 제 1 및 제 2 센서 분석부(420)에 의해 생성된 차단 이벤트를 실행할 수 있다. 센서 차단부(425)는 차단 이벤트에 기반한 차단 메시지를 생성하여 상기 무선 프레임을 송수신하도록 설정됐던 AP 및 단말로 전송할 수 있다.The sensor blocking unit 425 may execute blocking events generated by the first and second sensor analysis units 420 . The sensor blocking unit 425 may generate a blocking message based on the blocking event and transmit it to the AP and the terminal configured to transmit and receive the radio frame.

도 6은 본 발명의 실시 예에 따른 WIPS의 접속 차단 방법을 나타내는 흐름도이다.6 is a flowchart illustrating a WIPS access blocking method according to an embodiment of the present invention.

서버(440)는 605 단계에서 센싱 장치(400)에 무선 침입 방지 관련 정책 정보 및 차단 목록을 전송할 수 있다.The server 440 may transmit wireless intrusion prevention related policy information and a block list to the sensing device 400 in step 605 .

센서 수신부(410)는 610 단계에서, 복수의 채널에서 순차적으로 무선 프레임을 모니터링할 수 있다. 센서 수신부(410)는 예컨대, 도 7에 도시된 바와 같이 무선 프레임 모니터링 시 스캔 채널을 동적으로 할당할 수 있다. 센서 수신부(410)는 초기에는 705와 같이 스캔 채널을 할당하여 순차적으로 무선 프레임을 모니터링할 수 있다. 이후, IEEE 802.11w 관련 채널(예컨대, 5번 채널)이 탐지된 경우, 710과 같이 해당 채널을 모니터링을 위해 추가적으로 할당하도록 관리할 수 있다. 더하여, 추가적인 IEEE 802.11w 관련 채널(예컨대, 157번 채널)이 탐지된 경우, 715와 같이 해당 채널 또한 모니터링을 위해 추가적으로 할당하도록 관리할 수 있다. 이로써, IEEE 802.11w 관련 채널에 대한 스캔을 빈번하게 수행함으로써 보다 빠르게 IEEE 802.11w의 무선 프레임과 관련한 차단 이벤트를 수행할 수 있다.The sensor receiver 410 may sequentially monitor radio frames in a plurality of channels in step 610 . The sensor receiver 410 may dynamically allocate a scan channel when monitoring a radio frame as shown in FIG. 7 . The sensor receiver 410 may initially allocate a scan channel as shown in 705 to sequentially monitor radio frames. Thereafter, when an IEEE 802.11w-related channel (eg, channel 5) is detected, it may be managed to additionally allocate a corresponding channel for monitoring as shown in 710. In addition, when an additional IEEE 802.11w-related channel (eg, channel 157) is detected, it may be managed to additionally allocate a corresponding channel as in 715 for monitoring. Accordingly, a blocking event related to a radio frame of IEEE 802.11w can be performed more quickly by frequently performing a scan for an IEEE 802.11w-related channel.

모니터링 결과 무선 프레임이 수신되면, 615 단계에서 센서 수신부(410)는 제 1 센서 분석부(415)에 해당 무선 프레임 분석을 호출할 수 있다. As a result of monitoring, when a radio frame is received, the sensor receiving unit 410 may call the first sensor analyzing unit 415 to analyze the corresponding radio frame in step 615 .

제 1 센서 분석부(415)는 620 단계에서 IEEE 802.11w 무선 프레임을 필터링하여 필터링된 무선 프레임을 분석할 수 있다. 그리고, 제 1 센서 분석부(415)는 625 단계에서, IEEE 802.11w 관련 정책 적용이 활성화된 경우라면 해당 무선 프레임에 대한 정책 위반 여부를 판단하고, IEEE 802.11w 관련 정책 적용이 비활성화된 경우라면 해당 무선 프레임에 대한 정책 위반 예상 정보를 생성할 수 있다. 추후 IEEE 802.11w 관련 정책 적용 활성화 시, 제 1 센서 분석부(415)는 상기 정책 위반 예상 정보에 기반하여 보다 빠르게 차단 이벤트를 생성할 수 있다.The first sensor analyzer 415 may analyze the filtered radio frame by filtering the IEEE 802.11w radio frame in step 620 . Then, in step 625 , the first sensor analyzer 415 determines whether the policy is violated for the radio frame if the IEEE 802.11w related policy application is activated, and if the IEEE 802.11w related policy application is deactivated, the corresponding It is possible to generate policy violation prediction information for the radio frame. When the IEEE 802.11w-related policy application is activated later, the first sensor analyzer 415 may generate a blocking event more quickly based on the policy violation prediction information.

제 1 센서 분석부(415)는 630 단계에서, 상기 정책 위반 여부 판단 결과에 기반하여 차단 이벤트를 생성할 수 있다. 예컨대, 제 1 센서 분석부(415)는 해당 무선 프레임이 비콘 메시지인 경우에는 모조(fake) 비콘을 생성하여 단말에게 전송함으로써, 단말의 AP에 대한 접속을 지연시킬 수 있다. 무선 프레임이 프로브 메시지인 경우, 제 1 센서 분석부(415)는 해당 무선 프레임에 대한 차단 이벤트를 생성할 수 있다. The first sensor analyzer 415 may generate a blocking event based on a result of determining whether the policy is violated in step 630 . For example, when the corresponding radio frame is a beacon message, the first sensor analyzer 415 may generate and transmit a fake beacon to the terminal, thereby delaying the terminal's access to the AP. When the radio frame is a probe message, the first sensor analyzer 415 may generate a blocking event for the radio frame.

제 1 센서 분석부(415)는 635 단계에서 생성된 차단 이벤트 정보를 서버(440)로 전송할 수 있다. 그리고, 640 단계에서 차단 이벤트가 발생하였음이 센서 차단부(425)로 전달될 수 있다.The first sensor analyzer 415 may transmit the blocking event information generated in step 635 to the server 440 . In step 640 , the occurrence of a blocking event may be transmitted to the sensor blocking unit 425 .

한편, 모니터링 결과 무선 프레임이 수신되면, 645 단계에서 센서 수신부(410)는 제 2 센서 분석부(420)에 해당 무선 프레임 분석을 호출할 수 있다. Meanwhile, when a radio frame is received as a result of the monitoring, the sensor receiving unit 410 may call the second sensor analyzing unit 420 to analyze the corresponding radio frame in step 645 .

제 2 센서 분석부(420)는 650 단계에서 수신한 무선 프레임을 분석할 수 있다. 이때, 제 2 센서 분석부(420)는 IEEE 802.11w 무선 프레임을 포함하여 분석할 수도 있다. 다만, 추후 차단 이벤트 생성 시 IEEE 802.11w 무선 프레임에 대한 차단 이벤트 생성은 제외할 수도 있도록, IEEE 802.11w 무선 프레임에 태깅(tagging)을 수행할 수 있다.The second sensor analyzer 420 may analyze the received radio frame in step 650 . In this case, the second sensor analyzer 420 may analyze including the IEEE 802.11w radio frame. However, tagging may be performed on the IEEE 802.11w radio frame so that the generation of the block event for the IEEE 802.11w radio frame may be excluded when the block event is generated later.

한편, 제 2 센서 분석부(420)는 앞서 설명한 스캔 채널 동적 할당을 위하여, IEEE 802.11w 무선 프레임 탐지 시 센서 수신부(410)에 해당 채널에 대한 알림을 전달할 수 있다.Meanwhile, the second sensor analyzer 420 may deliver a notification of the corresponding channel to the sensor receiver 410 when an IEEE 802.11w radio frame is detected for dynamic allocation of the scan channel described above.

제 2 센서 분석부(420)는 655 단계에서 해당 무선 프레임을 송신한 AP 또는 단말 정보를 추가하거나 갱신할 수 있다. 그리고, 660 단계에서 해당 AP 또는 단말의 정책 위반 여부를 판단할 수 있다. 제 2 센서 분석부(420)는 정책 위반으로 판단되는 경우 665 단계에서 차단 이벤트를 생성할 수 있다. 이때, 태깅된 IEEE 802.11w 무선 프레임을 제외한 무선 프레임에 대해서만 차단 이벤트를 생성할 수 있다.The second sensor analyzer 420 may add or update information on the AP or the terminal that has transmitted the corresponding radio frame in step 655 . In step 660, it may be determined whether the policy of the corresponding AP or terminal is violated. The second sensor analyzer 420 may generate a blocking event in step 665 when it is determined that the policy is violated. In this case, a blocking event may be generated only for radio frames except for the tagged IEEE 802.11w radio frame.

제 2 센서 분석부(420)는 670 단계에서 생성된 차단 이벤트 정보를 서버(440)로 전달할 수 있다. 그리고, 675 단계에서 차단 이벤트가 발생하였음이 센서 차단부(425)로 전달될 수 있다.The second sensor analyzer 420 may transmit the blocking event information generated in step 670 to the server 440 . In step 675 , the occurrence of the blocking event may be transmitted to the sensor blocking unit 425 .

센서 차단부(425)는 680 단계에서 상기 제 1 및 제 2 센서 분석부(415, 420)로부터 전달된 차단 이벤트를 실행할 수 있다. 센서 차단부(425)는 예컨대, 차단 메시지를 생성하여 상기 무선 프레임을 송수신하도록 설정됐던 AP 및 단말로 전송할 수 있다.The sensor blocking unit 425 may execute the blocking event transmitted from the first and second sensor analysis units 415 and 420 in step 680 . The sensor blocking unit 425 may, for example, generate a blocking message and transmit it to the AP and the terminal configured to transmit and receive the radio frame.

도 8은 본 발명의 실시 예에 따른 센서 수신부(410)의 무선 프레임 모니터링 시 스캔 채널 동적 할당 방법을 설명하기 위한 순서도이다.8 is a flowchart illustrating a method for dynamically allocating a scan channel when monitoring a radio frame by the sensor receiver 410 according to an embodiment of the present invention.

센서 수신부(410)는 805 단계에서 무선 프레임을 수신할 수 있다. 그리고, 센서 수신부(410)는 810 단계에서, IEEE 802.11w 관련 정책 적용이 활성화되었는지 여부를 판단할 수 있다.The sensor receiver 410 may receive a radio frame in step 805 . In step 810 , the sensor receiver 410 may determine whether IEEE 802.11w-related policy application is activated.

정책 적용이 활성화된 경우라면, 센서 수신부(410)는 815 단계에서 상기 무선 프레임을 수신한 채널이 현재 추가 스캔 채널로 미관리되는 AP의 IEEE 802.11w 채널인지 여부를 확인할 수 있다. 만약 추가 스캔 채널로 관리되고 있는 채널이면, 이를 무시한다. 그러나, 추가 스캔 채널로 관리되고 있지 않는 채널이면, 센서 수신부(410)는 820 단계에서 해당 채널을 스캔 채널로 추가 할당할 수 있다. If policy application is activated, the sensor receiving unit 410 may check whether the channel receiving the radio frame is an IEEE 802.11w channel of the AP that is not currently managed as an additional scan channel in step 815 . If it is a channel managed as an additional scan channel, it is ignored. However, if the channel is not managed as an additional scan channel, the sensor receiver 410 may additionally allocate the corresponding channel as the scan channel in step 820 .

반면, 정책 적용이 비활성화된 경우라면, 센서 수신부(410)는 825 단계에서 현재 추가 스캔 채널로 관리되고 있는 IEEE 802.11w 스캔 채널 전체를 삭제할 수 있다.On the other hand, if policy application is deactivated, the sensor receiver 410 may delete all IEEE 802.11w scan channels currently managed as additional scan channels in step 825 .

도 9는 본 발명의 실시 예에 따른 제 1 센서 분석부(415)가 IEEE 802.11w를 지원하는 무선 프레임 관련 차단 이벤트를 생성하는 방법을 설명하기 위한 순서도이다.9 is a flowchart illustrating a method for the first sensor analyzer 415 to generate a radio frame-related blocking event supporting IEEE 802.11w according to an embodiment of the present invention.

제 1 센서 분석부(415)는 905 단계에서 프레임 분석 호출을 수신할 수 있다.The first sensor analyzer 415 may receive a frame analysis call in step 905 .

제 1 센서 분석부(415)는 910 단계에서 해당 무선 프레임이 비콘(Beacon) 메시지 인지 여부를 확인할 수 있다.The first sensor analyzer 415 may determine whether the corresponding radio frame is a beacon message in step 910 .

해당 무선 프레임이 비콘 메시지인 경우, 제 1 센서 분석부(415)는 915 단계에서 해당 무선 프레임이 IEEE 802.11w를 지원하는지 여부를 확인할 수 있다. 만약, IEEE 802.11w를 지원하지 않는 무선 프레임이라면 이를 폐기하고 다음으로 탐지된 무선 프레임을 분석할 수 있다.When the corresponding radio frame is a beacon message, the first sensor analyzer 415 may check whether the corresponding radio frame supports IEEE 802.11w in step 915 . If it is a radio frame that does not support IEEE 802.11w, it can be discarded and the detected radio frame can be analyzed next.

만약, IEEE 802.11w를 지원하는 비콘 메시지로 확인되면, 제 1 센서 분석부(415)는 920 단계에서 IEEE 802.11w 관련 정책 적용이 활성화되었는지 여부를 확인할 수 있다.If it is determined as a beacon message supporting IEEE 802.11w, the first sensor analyzer 415 may determine whether IEEE 802.11w-related policy application is activated in step 920 .

만약 정책 적용이 활성화된 경우라면, 제 1 센서 분석부(415)는 925 단계에서 해당 무선 프레임이 정책 위반 시 채널 정보가 위조된 모조(fake) 비콘을 생성할 수 있다. 정책을 위반하지 않은 무선 프레임은 폐기할 수 있다. 반면, 정책 적용이 비활성화된 경우라면, 제 1 센서 분석부(415)는 930 단계에서 상기 무선 프레임에 대한 예상되는 정책 위반 여부를 검사함으로써, 정책 위반 예상 정보를 생성할 수 있다. 따라서, 추후에 정책 적용이 활성화된 경우 상기 정책 위반 예상 정보에 기반하여 조속히 모조(fake) 비콘을 생성할 수 있다.If policy application is activated, the first sensor analyzer 415 may generate a fake beacon in which channel information is forged when the corresponding radio frame violates the policy in step 925 . Radio frames that do not violate the policy may be discarded. On the other hand, if policy application is deactivated, the first sensor analyzer 415 may generate policy violation prediction information by checking whether the radio frame is expected to violate the policy in step 930 . Therefore, when policy application is activated later, a fake beacon may be quickly generated based on the policy violation expected information.

반면, 해당 무선 프레임이 비콘 메시지가 아닌 경우, 제 1 센서 분석부(415)는 935 단계에서 해당 무선 프레임이 프로브 메시지인지 여부를 확인할 수 있다. 프로브 메시지도 아니라면 제 1 센서 분석부(415)는 이를 폐기하고 다음으로 탐지된 무선 프레임을 분석할 수 있다.On the other hand, if the corresponding radio frame is not a beacon message, the first sensor analyzer 415 may determine whether the corresponding radio frame is a probe message in step 935 . If it is not a probe message, the first sensor analyzer 415 may discard it and analyze the next detected radio frame.

해당 무선 프레임이 프로브 메시지인 경우, 제 1 센서 분석부(415)는 915 단계에서 해당 무선 프레임이 IEEE 802.11w를 지원하는지 여부를 확인할 수 있다. 만약, IEEE 802.11w를 지원하지 않는 무선 프레임이라면 이를 폐기하고 다음으로 탐지된 무선 프레임을 분석할 수 있다.When the corresponding radio frame is a probe message, the first sensor analyzer 415 may check whether the corresponding radio frame supports IEEE 802.11w in step 915 . If it is a radio frame that does not support IEEE 802.11w, it may be discarded and the detected radio frame may be analyzed next.

만약, IEEE 802.11w를 지원하는 프로브 메시지로 확인되면, 제 1 센서 분석부(415)는 945 단계에서 IEEE 802.11w 관련 정책 적용이 활성화되었는지 여부를 확인할 수 있다.If it is identified as a probe message supporting IEEE 802.11w, the first sensor analyzer 415 may determine whether IEEE 802.11w-related policy application is activated in step 945 .

만약 정책 적용이 활성화된 경우라면, 제 1 센서 분석부(415)는 950 단계에서 해당 무선 프레임이 정책 위반 시 이에 대한 차단 이벤트를 생성할 수 있다. 정책을 위반하지 않은 무선 프레임은 폐기할 수 있다. 반면, 정책 적용이 비활성화된 경우라면, 제 1 센서 분석부(415)는 955 단계에서 상기 무선 프레임에 대한 예상되는 정책 위반 여부를 검사함으로써, 정책 위반 예상 정보를 생성할 수 있다. 따라서, 추후에 정책 적용이 활성화된 경우 상기 정책 위반 예상 정보에 기반하여 조속히 차단 이벤트를 생성할 수 있다.If the policy application is activated, the first sensor analyzer 415 may generate a blocking event for the corresponding radio frame when the policy is violated in step 950 . Radio frames that do not violate the policy may be discarded. On the other hand, if policy application is deactivated, the first sensor analyzer 415 may generate policy violation prediction information by checking whether the radio frame is expected to violate the policy in step 955 . Therefore, when policy application is activated later, a blocking event may be generated promptly based on the policy violation expected information.

즉, 본 발명의 실시 예에 따르면, 제 1 센서 분석부(415)는 IEEE 802.11w와 관련한 AP 및 단말의 정책 위반 정보를, 서버로부터의 정책 적용 활성화 여부와 관계없이 저장할 수 있다. 상기 정책 위반 정보는 유효기간을 갱신하면서 지속적으로 저장될 수 있다. 저장된 정보는 IEEE 802.11w로 연결을 시도하는 AP 및 단말을 프로브 메시지에서 탐지하지 못할 경우를 대비하여 사용될 수 있다. 즉, 이후에 프로브 메시지를 탐지하여 해당 AP 및 단말로 차단 메시지를 발생시키지 못했다면, 상기 저장된 정책 위반 정보를 기반으로 차단 메시지를 생성할 수 있다. That is, according to an embodiment of the present invention, the first sensor analyzer 415 may store policy violation information of the AP and the terminal related to IEEE 802.11w regardless of whether policy application is activated from the server. The policy violation information may be continuously stored while updating the validity period. The stored information may be used in case the AP and the UE attempting to connect to IEEE 802.11w are not detected in the probe message. That is, if the probe message is later detected and the blocking message is not generated to the corresponding AP and the terminal, the blocking message may be generated based on the stored policy violation information.

도 10은 본 발명의 실시 예에 따른 제 2 센서 분석부(420)가 무선 프레임 관련 차단 이벤트를 생성하는 방법을 설명하기 위한 순서도이다.10 is a flowchart illustrating a method for the second sensor analyzer 420 to generate a radio frame-related blocking event according to an embodiment of the present invention.

제 2 센서 분석부(420)는 1005 단계에서 무선 프레임을 분석하고 해당 무선 프레임을 송신한 AP 또는 단말 정보를 추가/갱신할 수 있다.The second sensor analyzer 420 may analyze the radio frame in step 1005 and add/update information on the AP or the terminal that has transmitted the radio frame.

제 2 센서 분석부(420)는 1010 단계에서 모니터링된 AP 또는 단말이 IEEE 802.11w를 지원하는지 여부를 판단할 수 있고, 지원하는 경우 1015 단계에서 해당 무선 프레임과 관련한 AP 및 단말 정보에 태깅(tagging)을 수행할 수 있다.The second sensor analyzer 420 may determine whether the monitored AP or terminal supports IEEE 802.11w in step 1010, and if it does, tagging the AP and terminal information related to the radio frame in step 1015 ) can be done.

제 2 센서 분석부(420)는 1020 단계에서 모니터링된 AP 또는 단말이 차단 AP 목록에 있는지 여부를 판단할 수 있고, 목록에 있는 경우 1025 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.The second sensor analysis unit 420 may determine whether the monitored AP or terminal is on the blocked AP list in step 1020, and if it is on the list, block the connection between the AP and the terminal related to the radio frame in step 1025 You can create a blocking event for

제 2 센서 분석부(420)는 1030 단계에서 모니터링된 AP 또는 단말이 차단 단말 목록에 있는지 여부를 판단할 수 있고, 목록에 있는 경우 1035 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.The second sensor analysis unit 420 may determine whether the monitored AP or terminal is in the blocked terminal list in step 1030, and if it is in the list, block the connection between the AP and the terminal related to the radio frame in step 1035 You can create a blocking event for

제 2 센서 분석부(420)는 1040 단계에서 모니터링된 AP가 비인가 AP 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 1045 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다. 이때, IEEE 802.11w를 지원하는 것으로 태깅된 AP 및 단말에 대한 차단 이벤트는 제외하고 생성할 수 있다.The second sensor analysis unit 420 may determine whether the monitored AP has violated the unauthorized AP policy in step 1040, and if it is determined that the violation has been violated, block the connection between the AP and the terminal related to the radio frame in step 1045 You can create a blocking event to do this. In this case, blocking events for APs and terminals tagged as supporting IEEE 802.11w may be excluded.

제 2 센서 분석부(420)는 1050 단계에서 모니터링된 단말이 비인가 단말 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 1055 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다. 이때, IEEE 802.11w를 지원하는 것으로 태깅된 AP 및 단말에 대한 차단 이벤트는 제외하고 생성할 수 있다.The second sensor analysis unit 420 may determine whether the monitored terminal has violated the unauthorized terminal policy in step 1050, and if it is determined that the violation has been violated, in step 1055, the connection between the AP and the terminal related to the radio frame is blocked You can create a blocking event to do this. In this case, blocking events for APs and terminals tagged as supporting IEEE 802.11w may be excluded.

제 2 센서 분석부(420)는 1060 단계에서 모니터링된 AP 또는 단말이 기타 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 1065 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다. 이때, IEEE 802.11w를 지원하는 것으로 태깅된 AP 및 단말에 대한 차단 이벤트는 제외하고 생성할 수 있다.The second sensor analysis unit 420 may determine whether the monitored AP or the terminal violates other policies in step 1060, and if it is determined that the violation has been violated, in step 1065, the connection between the AP and the terminal related to the radio frame You can create a blocking event to block. In this case, blocking events for APs and terminals tagged as supporting IEEE 802.11w may be excluded.

한편, 상기 차단 이벤트를 생성하기 위한 판단 순서는 임의로 정한 것으로, 그 순서가 일부 바뀌어서 진행될 수도 있다.Meanwhile, the order of determination for generating the blocking event is arbitrarily determined, and the order may be partially changed.

즉, 본 발명의 실시 예에 따르면, 제 2 센서 분석부(420)는 IEEE 802.11w를 지원하는 AP 또는 단말 정보에 태깅해줌으로써, 제 2 센서 분석부(420)가 제 1 센서 분석부(415)와 중복하여 IEEE 802.11w를 지원하는 무선 프레임에 대한 차단 이벤트 생성을 하지 않도록 막아준다.That is, according to an embodiment of the present invention, the second sensor analyzer 420 tags the AP or terminal information supporting IEEE 802.11w, so that the second sensor analyzer 420 performs the first sensor analyzer 415 ) and prevents the generation of a blocking event for a radio frame supporting IEEE 802.11w.

본 명세서와 도면에 개시된 본 개시의 실시 예들은 본 개시의 기술 내용을 쉽게 설명하고 본 개시의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 개시의 범위를 한정하고자 하는 것은 아니다. 따라서 본 개시의 범위는 여기에 개시된 실시 예들 이외에도 본 개시의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 개시의 범위에 포함되는 것으로 해석되어야 한다.Embodiments of the present disclosure disclosed in the present specification and drawings are merely provided for specific examples to easily explain the technical content of the present disclosure and help the understanding of the present disclosure, and are not intended to limit the scope of the present disclosure. Therefore, the scope of the present disclosure should be construed as including all changes or modifications derived from the technical spirit of the present disclosure in addition to the embodiments disclosed herein as being included in the scope of the present disclosure.

Claims (20)

무선 침입 방지 시스템(wireless intrusion prevention system) 내 전자 장치의 접속 차단 방법에 있어서,
제 1 통신 모듈을 사용하여, 복수의 채널에서 무선 프레임을 모니터링하는 단계;
적어도 하나의 무선 프레임에 기반한 제 1 차단 메시지의 생성과, 소정 보안 기술이 적용된 제 1 무선 프레임에 기반한 제 2 차단 메시지의 생성을 병렬적으로 수행하는 단계; 및
제 2 통신 모듈을 사용하여, 상기 제 1 또는 제 2 차단 메시지 중 적어도 하나를 전송하는 단계를 포함하고,
상기 적어도 하나의 무선 프레임은, 모니터링된 무선 프레임에서 상기 제 1 무선 프레임을 제외한 것 중 정책을 위반했다고 판단된 무선 프레임에 속하는 것을 특징으로 하는 전자 장치의 접속 차단 방법.
In a method of blocking access of an electronic device in a wireless intrusion prevention system,
using the first communication module to monitor radio frames in a plurality of channels;
generating a first blocking message based on at least one radio frame and generating a second blocking message based on a first radio frame to which a predetermined security technology is applied in parallel; and
using a second communication module to transmit at least one of the first or second blocking message;
The at least one radio frame belongs to a radio frame determined to violate a policy among the monitored radio frames except for the first radio frame.
 제 1 항에 있어서,
상기 모니터링하는 단계는,
상기 복수의 채널 중 상기 제 1 무선 프레임이 전송된 채널을 상기 모니터링을 위해 동적으로 추가 할당하는 것을 특징으로 하는 전자 장치의 접속 차단 방법.
The method of claim 1,
The monitoring step is
and dynamically allocating a channel through which the first radio frame is transmitted among the plurality of channels for the monitoring.
 제 1 항에 있어서,
상기 제 1 차단 메시지를 생성하는 단계는,
정책 정보 및 차단 목록에 기반하여 상기 적어도 하나의 무선 프레임 각각에 대한 정책 위반 여부를 판단하는 단계를 포함하는 전자 장치의 접속 차단 방법.
The method of claim 1,
The step of generating the first blocking message comprises:
and determining whether a policy is violated for each of the at least one radio frame based on policy information and a block list.
 제 1 항에 있어서,
상기 제 2 차단 메시지를 생성하는 단계는,
상기 제 1 무선 프레임이 비콘 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 활성화 상태이면, 상기 비콘 메시지와는 다른 특성을 갖는 모조(fake) 비콘 메시지를 생성하는 단계; 및
상기 모조 비콘 메시지를 단말로 전송하는 단계를 포함하는 전자 장치의 접속 차단 방법.
The method of claim 1,
The step of generating the second blocking message comprises:
generating a fake beacon message having a characteristic different from that of the beacon message when the policy application related to the predetermined security technology is activated when the first radio frame is a beacon message; and
and transmitting the fake beacon message to a terminal.
 제 4 항에 있어서,
상기 제 2 차단 메시지를 생성하는 단계는,
상기 제 1 무선 프레임이 비콘 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 비활성화 상태이면, 상기 제 1 무선 프레임에 대한 정책 위반 예상 정보를 생성하는 단계;
추후 상기 소정 보안 기술과 관련한 정책 적용이 활성화되면, 상기 예상 정보에 기반하여 상기 모조 비콘 메시지를 생성하는 단계를 더 포함하는 전자 장치의 접속 차단 방법.
5. The method of claim 4,
The step of generating the second blocking message comprises:
generating policy violation prediction information for the first radio frame when policy application related to the predetermined security technology is inactive when the first radio frame is a beacon message;
The method further comprising the step of generating the fake beacon message based on the expected information when the application of the policy related to the predetermined security technology is activated later.
 제 1 항에 있어서,
상기 제 2 차단 메시지를 생성하는 단계는,
상기 제 1 무선 프레임이 프로브 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 활성화 상태이면, 상기 제 2 차단 메시지를 생성하는 단계를 포함하는 전자 장치의 접속 차단 방법.
The method of claim 1,
The step of generating the second blocking message comprises:
and generating the second blocking message when policy application related to the predetermined security technology is activated when the first radio frame is a probe message.
 제 6 항에 있어서,
상기 제 2 차단 메시지를 생성하는 단계는,
상기 제 1 무선 프레임이 프로브 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 비활성화 상태이면, 상기 제 1 무선 프레임에 대한 정책 위반 예상 정보를 생성하는 단계;
추후 상기 소정 보안 기술과 관련한 정책 적용이 활성화되면, 상기 예상 정보에 기반하여 상기 제 2 차단 메시지를 생성하는 단계를 더 포함하는 전자 장치의 접속 차단 방법.
7. The method of claim 6,
The step of generating the second blocking message comprises:
generating policy violation prediction information for the first radio frame when policy application related to the predetermined security technology is inactive when the first radio frame is a probe message;
The method further comprising the step of generating the second blocking message based on the expected information when the application of the policy related to the predetermined security technology is activated later.
 제 1 항에 있어서,
서버로부터 무선 침입 방지 관련 정책 정보 및 차단 목록을 수신하는 단계를 더 포함하는 전자 장치의 접속 차단 방법.
The method of claim 1,
The method of blocking access of an electronic device further comprising the step of receiving wireless intrusion prevention-related policy information and a block list from a server.
 삭제delete 제 1 항에 있어서,
상기 소정 보안 기술은 IEEE 802.11w의 보안 기술을 포함하는 것을 특징으로 하는 전자 장치의 접속 차단 방법.
The method of claim 1,
The predetermined security technology includes an IEEE 802.11w security technology.
 무선 침입 방지 시스템(wireless intrusion prevention system) 내 전자 장치에 있어서,
제 1 통신 모듈;
제 2 통신 모듈; 및
상기 제 1 통신 모듈을 사용하여 복수의 채널에서 무선 프레임을 모니터링하도록 제어하고, 적어도 하나의 무선 프레임에 기반한 제 1 차단 메시지의 생성 및 소정 보안 기술이 적용된 제 1 무선 프레임에 기반한 제 2 차단 메시지의 생성을 병렬적으로 수행하도록 제어하며, 제 2 통신 모듈을 사용하여 상기 제 1 또는 제 2 차단 메시지 중 적어도 하나를 전송하도록 제어하는 컨트롤러를 포함하고,
상기 적어도 하나의 무선 프레임은, 모니터링된 무선 프레임에서 상기 제 1 무선 프레임을 제외한 것 중 정책을 위반했다고 판단된 무선 프레임에 속하는 것을 특징으로 하는 전자 장치.
In an electronic device in a wireless intrusion prevention system,
a first communication module;
a second communication module; and
Control to monitor radio frames in a plurality of channels using the first communication module, generate a first block message based on at least one radio frame, and generate a second block message based on a first radio frame to which a predetermined security technology is applied. and a controller that controls generation to be performed in parallel, and controls to transmit at least one of the first or second blocking message using a second communication module,
The at least one radio frame belongs to a radio frame determined to violate a policy among the monitored radio frames except for the first radio frame.
 제 11 항에 있어서,
상기 컨트롤러는,
상기 복수의 채널 중 상기 제 1 무선 프레임이 전송된 채널을 상기 모니터링을 위해 동적으로 추가 할당하는 것을 특징으로 하는 전자 장치.
12. The method of claim 11,
The controller is
and dynamically allocating a channel through which the first radio frame is transmitted among the plurality of channels for the monitoring.
 제 11 항에 있어서,
상기 컨트롤러는,
정책 정보 및 차단 목록에 기반하여 상기 적어도 하나의 무선 프레임 각각에 대한 정책 위반 여부를 판단하는 것을 특징으로 하는 전자 장치.
12. The method of claim 11,
The controller is
The electronic device of claim 1, wherein it is determined whether a policy is violated for each of the at least one radio frame based on policy information and a block list.
 제 11 항에 있어서,
상기 컨트롤러는,
상기 제 1 무선 프레임이 비콘 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 활성화 상태이면 상기 비콘 메시지와는 다른 특성을 갖는 모조(fake) 비콘 메시지를 생성하고, 상기 모조 비콘 메시지를 단말로 전송하는 단계를 포함하는 전자 장치.
12. The method of claim 11,
The controller is
When the first radio frame is a beacon message, if the policy application related to the predetermined security technology is activated, a fake beacon message having a characteristic different from that of the beacon message is generated, and the fake beacon message is transmitted to the terminal An electronic device comprising the steps.
 제 14 항에 있어서,
상기 컨트롤러는,
상기 제 1 무선 프레임이 비콘 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 비활성화 상태이면 상기 제 1 무선 프레임에 대한 정책 위반 예상 정보를 생성하고, 추후 상기 소정 보안 기술과 관련한 정책 적용이 활성화되면 상기 예상 정보에 기반하여 상기 모조 비콘 메시지를 생성하는 것을 특징으로 하는 전자 장치.
15. The method of claim 14,
The controller is
When the first radio frame is a beacon message, policy violation prediction information for the first radio frame is generated when policy application related to the predetermined security technology is inactive, and when policy application related to the predetermined security technology is activated later, the and generating the fake beacon message based on expected information.
 제 11 항에 있어서,
상기 컨트롤러는,
상기 제 1 무선 프레임이 프로브 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 활성화 상태이면 상기 제 2 차단 메시지를 생성하는 것을 특징으로 하는 전자 장치.
12. The method of claim 11,
The controller is
The electronic device of claim 1, wherein when the first radio frame is a probe message and the policy application related to the predetermined security technology is activated, the second blocking message is generated.
 제 16 항에 있어서,
상기 컨트롤러는,
상기 제 1 무선 프레임이 프로브 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 비활성화 상태이면 상기 제 1 무선 프레임에 대한 정책 위반 예상 정보를 생성하고, 추후 상기 소정 보안 기술과 관련한 정책 적용이 활성화되면 상기 예상 정보에 기반하여 상기 제 2 차단 메시지를 생성하는 것을 특징으로 하는 전자 장치.
17. The method of claim 16,
The controller is
When the first radio frame is a probe message, policy violation prediction information for the first radio frame is generated when policy application related to the predetermined security technology is inactive, and when policy application related to the predetermined security technology is activated later, the and generating the second blocking message based on expected information.
 제 11 항에 있어서,
상기 컨트롤러는,
서버로부터 무선 침입 방지 관련 정책 정보 및 차단 목록을 수신하도록 제어하는 것을 특징으로 하는 전자 장치.
12. The method of claim 11,
The controller is
An electronic device, characterized in that it controls to receive wireless intrusion prevention-related policy information and a block list from a server.
 삭제delete 제 11 항에 있어서,
상기 소정 보안 기술은 IEEE 802.11w의 보안 기술을 포함하는 것을 특징으로 하는 전자 장치.12. The method of claim 11,
The electronic device according to claim 1, wherein the predetermined security technology includes a security technology of IEEE 802.11w.
KR1020150167947A 2015-11-27 2015-11-27 Method and apparatus for preventing connection in wireless intrusion prevention system KR102329493B1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020150167947A KR102329493B1 (en) 2015-11-27 2015-11-27 Method and apparatus for preventing connection in wireless intrusion prevention system
US15/775,185 US10834596B2 (en) 2015-11-27 2016-11-28 Method for blocking connection in wireless intrusion prevention system and device therefor
PCT/KR2016/013766 WO2017091047A1 (en) 2015-11-27 2016-11-28 Method for blocking connection in wireless intrusion prevention system and device therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150167947A KR102329493B1 (en) 2015-11-27 2015-11-27 Method and apparatus for preventing connection in wireless intrusion prevention system

Publications (2)

Publication Number Publication Date
KR20170062301A KR20170062301A (en) 2017-06-07
KR102329493B1 true KR102329493B1 (en) 2021-11-22

Family

ID=58763662

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150167947A KR102329493B1 (en) 2015-11-27 2015-11-27 Method and apparatus for preventing connection in wireless intrusion prevention system

Country Status (3)

Country Link
US (1) US10834596B2 (en)
KR (1) KR102329493B1 (en)
WO (1) WO2017091047A1 (en)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10531545B2 (en) 2014-08-11 2020-01-07 RAB Lighting Inc. Commissioning a configurable user control device for a lighting control system
US10039174B2 (en) 2014-08-11 2018-07-31 RAB Lighting Inc. Systems and methods for acknowledging broadcast messages in a wireless lighting control network
US10085328B2 (en) 2014-08-11 2018-09-25 RAB Lighting Inc. Wireless lighting control systems and methods
KR102423126B1 (en) 2018-10-26 2022-07-21 삼성전자주식회사 Electronic device and control method thereof
KR102102835B1 (en) * 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips sensor
US11463882B2 (en) 2019-04-18 2022-10-04 Sophos Limited Endpoint-controlled rogue AP avoidance + rogue AP detection using synchronized security
CN111278083B (en) * 2020-01-20 2022-05-27 新华三技术有限公司成都分公司 Channel scanning method and device
KR102157661B1 (en) 2020-03-11 2020-09-18 주식회사 시큐아이 Wireless intrusion prevention system, wireless network system, and operating method for wireless network system
JP2021150722A (en) * 2020-03-17 2021-09-27 キヤノン株式会社 Communication device, control method, and program
US11522767B2 (en) 2020-10-22 2022-12-06 Bank Of America Corporation System for real-time imitation network generation using artificial intelligence
JP7430397B2 (en) 2021-02-26 2024-02-13 サイレックス・テクノロジー株式会社 WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program
KR102359801B1 (en) * 2021-06-02 2022-02-09 주식회사 시큐아이 Wireless intrusion prevention system and operating method thereof
KR102323712B1 (en) * 2021-06-17 2021-11-10 주식회사 네오리진 Wips sensor and method for preventing an intrusion of an illegal wireless terminal using wips sensor
US11523293B1 (en) * 2021-10-12 2022-12-06 Levi Gundert Wireless network monitoring system
KR102596544B1 (en) * 2023-04-17 2023-10-31 주식회사 코닉글로리 Method and apparatus for preventing wireless intrusion

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013089395A1 (en) * 2011-12-16 2013-06-20 주식회사 코닉글로리 Signature-based wireless intrusion prevention system

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7295831B2 (en) * 2003-08-12 2007-11-13 3E Technologies International, Inc. Method and system for wireless intrusion detection prevention and security management
KR100628325B1 (en) * 2004-12-20 2006-09-27 한국전자통신연구원 Intrusion detection sensor detecting attacks against wireless network and system and method for detecting wireless network intrusion
US20070275741A1 (en) * 2006-05-24 2007-11-29 Lucent Technologies Inc. Methods and systems for identifying suspected virus affected mobile stations
CA2706721C (en) * 2006-11-27 2016-05-31 Smobile Systems, Inc. Wireless intrusion prevention system and method
KR20140035600A (en) 2012-09-14 2014-03-24 한국전자통신연구원 Dongle apparatus for preventing wireless intrusion
KR101429180B1 (en) 2012-11-30 2014-08-12 유넷시스템주식회사 Control sensor of wireless network security system
KR101429178B1 (en) 2013-03-05 2014-08-12 유넷시스템주식회사 System and method of wireless network security
KR101429179B1 (en) 2013-04-10 2014-08-12 유넷시스템주식회사 Combination security system for wireless network
KR101557857B1 (en) * 2014-04-02 2015-10-06 유넷시스템주식회사 Detection apparatus for wireless intrusion prevention system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013089395A1 (en) * 2011-12-16 2013-06-20 주식회사 코닉글로리 Signature-based wireless intrusion prevention system

Also Published As

Publication number Publication date
US10834596B2 (en) 2020-11-10
KR20170062301A (en) 2017-06-07
US20180324200A1 (en) 2018-11-08
WO2017091047A1 (en) 2017-06-01

Similar Documents

Publication Publication Date Title
KR102329493B1 (en) Method and apparatus for preventing connection in wireless intrusion prevention system
US9363675B2 (en) Distributed wireless security system
US8655312B2 (en) Wireless access point detection
US8694624B2 (en) Systems and methods for concurrent wireless local area network access and sensing
US8997201B2 (en) Integrity monitoring to detect changes at network device for use in secure network access
US20150040194A1 (en) Monitoring of smart mobile devices in the wireless access networks
US7710933B1 (en) Method and system for classification of wireless devices in local area computer networks
CN104486765A (en) Wireless intrusion detecting system and detecting method
US20150271194A1 (en) Fake Base Station Detection with Core Network Support
US20190387408A1 (en) Wireless access node detecting method, wireless network detecting system and server
WO2005101766A2 (en) Method for wireless lan intrusion detection based on protocol anomaly analysis
CN101540667A (en) Method and equipment for interfering with communication in wireless local area network
Boob et al. Wireless intrusion detection system
CN105681272A (en) Method for detecting and defensing fishing WiFi of mobile terminal
US8145131B2 (en) Wireless ad hoc network security
KR20140035600A (en) Dongle apparatus for preventing wireless intrusion
KR102323712B1 (en) Wips sensor and method for preventing an intrusion of an illegal wireless terminal using wips sensor
CN106878992B (en) Wireless network security detection method and system
Lovinger et al. Detection of wireless fake access points
KR102359801B1 (en) Wireless intrusion prevention system and operating method thereof
VanSickle et al. Effectiveness of tools in identifying rogue access points on a wireless network
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
KR102359805B1 (en) Sensing device, wireless intrusion prevention system including sensing device and operation method thereof
KR101186873B1 (en) Wireless intrusion protecting system based on signature
KR101747144B1 (en) Method and system for preventing rogue access point

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant